Saltar al contenido
Actualizado 21 de mayo de 2026

Seguridad en Passora

Documentación alineada con Passora: caja fuerte local en Windows, tipos de entrada y sin sincronización de secretos en la nube.

Modelo de confianza y amenazas

Passora sigue un principio de mínima exposición: lo más sensible (tus contraseñas guardadas) permanece en tu PC. Nuestros servidores gestionan identidad, planes y operación del sitio, pero no almacenan una copia descifrable de tu bóveda porque no existe sincronización en la nube de credenciales en la versión actual.

Esto reduce el riesgo de filtración masiva en servidor, pero aumenta tu responsabilidad sobre el dispositivo: malware local, copias de seguridad no cifradas o pérdida de la contraseña maestra pueden comprometer tus secretos sin intervención de Passora.

Bóveda local (aplicación Windows)

  • Almacenamiento: base de datos SQLite en tu perfil de usuario de Windows. Los campos de contraseña se guardan cifrados (AES-256) con claves derivadas de tu contraseña maestra.
  • Desbloqueo: la maestra no sale en texto claro hacia passora.app.
  • Recuperación: las claves de recuperación se derivan localmente; sin ellas, no podemos restablecer tu bóveda.
  • Auditoría local: comprobaciones de contraseñas débiles se ejecutan en tu equipo; no enviamos tu lista de sitios a la nube.

Cuenta web (passora.app)

  • En tránsito: HTTPS (TLS 1.2+) en todas las rutas públicas.
  • Sesión: cookies httpOnly firmadas; refresco periódico en el panel.
  • Contraseña de cuenta: hash adaptativo en servidor, distinta de la maestra de la bóveda.
  • Protección de abuso: límites de intentos en login y APIs sensibles.

Extensión Chrome y puente local

La extensión se comunica únicamente con un servidor HTTP en 127.0.0.1 levantado por la App. Requiere token de emparejamiento; no expone la bóveda a Internet.

Lo que Passora no ofrece (hoy)

  • Sincronización multiplataforma de la bóveda en nube.
  • Desbloqueo biométrico integrado (Windows Hello, etc.).
  • Compartir credenciales entre usuarios desde la bóveda.
  • Certificación SOC 2 publicada.

Infraestructura y pagos

El sitio y APIs se alojan en la Unión Europea. Los pagos los procesa Stripe (PCI-DSS); Passora no recibe el PAN completo de tu tarjeta.

Las copias de seguridad de cuenta en servidor no incluyen el contenido de tu bóveda Windows.

Divulgación responsable

Si descubres una vulnerabilidad, contáctanos antes de divulgarla públicamente. Canal: security@passora.app.

Recomendaciones para endurecer tu entorno

  • Contraseña maestra larga y única.
  • Actualizar Windows, Passora y el navegador.
  • Cifrado de disco (BitLocker) y bloqueo de sesión.
  • Copia de seguridad cifrada de la bóveda.